Käyttöehdot ja tietosuoja

Käyttöehdot ja tietosuoja

Rego HSEQ-, Laatuportti- ja Potilasturvaportti-palveluiden yleiset käyttöehdot, henkilötietojen käsittely ja tietoturvalauseke.

1 Palveluiden yleiset käyttöehdot

2 Henkilötietojen käsittely

3 Tietoturvalauseke

1 Terms of use

2 Processing of personal data

3 Privacy statement

1 Palveluiden yleiset käyttöehdot

1.1 Yleistä

Nämä käyttöehdot sisältävät Rego HSEQ- ja Laatuportti- ja Potilasturvaportti-ohjelmistopalvelun (jatkossa Palvelu) käyttöä koskevat ehdot. Palvelu on Qreform Oy:n (jäljempänä Palveluntuottaja) ylläpitämä ja käytettävissä Internetissä Asiakkaalle (luonnollinen henkilö, organisaatio tai yritys) ilmoitetussa verkko-osoitteessa.

Palveluiden käytöstä on aina tehty kirjallinen Palvelusopimus Palveluntuottajan ja Asiakkaan välillä. Palvelusopimus voi määrittää käyttö- ja muita ehtoja tästä dokumentista poikkeavasti ja Palvelusopimus on aina ensisijainen sopimusdokumentti.

1.2 Palvelujen sisältö ja tekijänoikeudet

Palveluntuottaja (tai kolmas osapuoli, jonka kanssa palveluntuottaja on tehnyt tarvittavat lisenssi- ja käyttöoikeussopimukset ja muut palvelun tai tuotteen toimittamiseen oikeuttavat sopimukset) omistaa kaikki palveluihin ja niihin liittyviin ohjelmistoihin, aineistoihin sekä palvelun suorittamiseen liittyvään työhön ja sen perusteella syntyneisiin aineistoihin liittyvät immateriaalioikeudet, eikä niitä miltään osin siirretä asiakkaalle.

Asiakas saa palveluun sekä siihen liittyviin dokumentteihin ja aineistoihin käyttöoikeudet sopimuksen voimassaoloajaksi siinä laajuudessa kuin on välttämätöntä palveluiden hyödyntämiseksi sopimuksen mukaisesti asiakkaan sopimuksenmukaisessa käytössä.

Asiakkaalla on kaikki omistusoikeudet ja immateriaalioikeudet omiin aineistoihinsa, kuten asiakkaan palveluun siirtämään, palvelun käytön yhteydessä luomaan, tai muuten asiakkaan lukuun palvelua varten palveluntuottajalle luovutettuun tai käyttöön asetettuun tietoon tai aineistoon.

Asiakas vastaa siitä, että asiakkaan palveluntuottajan käyttöön palvelun tuottamiseksi luovuttaman ohjelmiston tai muun aineiston käyttö ei loukkaa kolmannen osapuolen immateriaalioikeuksia. Asiakkaan on hankittava kaikki tarvittavat oikeudet ja korvattava palveluntuottajalle kaikki immateriaalioikeuksien loukkauksista aiheutuneet vahingot.

Asiakas ei saa poistaa, muokata tai peittää palvelussa olevia tekijänoikeus-, tavaramerkki- tai muita immateriaalioikeusmerkintöjä. Palvelun toimittajan omistamaa aineistoa siteerattaessa (sitaattioikeus) on mainittava tietolähteeksi Rego HSEQ, Laatuportti- tai Potilasturvaportti-palvelu.

1.3 Asiakkaan vastuu

Asiakas vastaa täysmääräisesti kaikista aiheuttamistaan vahingoista, jotka johtuvat näiden käyttöehtojen vastaisesta käytöstä, toiminnasta tai laiminlyönnistä.

Asiakas/käyttäjä vastaa antamiensa tietojen oikeellisuudesta, sekä on velvollinen ilmoittamaan niissä tapahtuneista muutoksista palveluntuottajalle viipymättä.

Asiakas/käyttäjä antaa luvan palvelun tuottamisen kannalta oleellisten henkilö- ja yhteystietojen keräämisen ja säilyttämisen tämän käyttöoikeuden hyväksynnällä. Palvelua käyttävä asiakasorganisaatio voi myös antaa rekisterinpitäjänä luvan oman organisaationsa henkilöiden tietojen käyttöön näillä samoilla periaatteilla.

Asiakkaan tietoja säilytetään voimassaolevan Suomen tietosuojalainsäädännön ja EU:n yleisen tietosuoja-asetuksen (GDPR) mukaisesti ja henkilörekisteriseloste on palvelussa nähtävissä.

Asiakas hyväksyy palveluntuottajan oikeuden informoida palvelun toiminnasta tai palvelun käyttöön liittyvistä muutoksista suoraan käyttäjälle tämän antamia yhteystietoja hyväksikäyttäen. Yhteystietoja käytetään vain edellä mainitussa yhteydessä eikä niitä luovuteta kolmansille osapuolille.

1.4 Palveluntuottajan vastuu

Palveluntuottajan vastuu on aina kuvattu erikseen asiakaskohtaisessa Palvelusopimuksessa.

Mikäli erillistä sopimusta ei ole tai vastuita ei ole siinä kuvattu, noudatetaan tämän ehdon tätä kohtaa (1.4).

Palveluntuottaja ei vastaa käyttäjälle tai kolmannelle osapuolelle palvelun mahdollisesti sisältämistä virheistä tai puutteellisuuksista tai tulkinnasta aiheutuvista vahingoista. Palveluntuottaja ei vastaa käyttäjälle tai kolmannelle osapuolelle palvelun soveltuvuudesta muuhun, kun asiakkaan ja palveluntuottajan välisessä sopimuksessa kuvattuun tarkoitukseen.

Palveluntuottaja ei vastaa käyttäjälle tai kolmannelle osapuolelle palvelun mahdollisten toimintakatkoksien tai palvelun mahdollisten teknisten vikojen aiheuttamista vahingoista. Palveluntuottaja ei vastaa mistään vahingosta, joka voi johtua palvelun toiminnasta tai toimimattomuudesta.

1.5 Palvelun sisällön ja toiminnan kehittäminen

Palveluntuottajalla on oikeudet muuttaa ja kehittää palvelun sisältöä ja toimintoja siten, että palvelun toiminnot kuitenkin aina vastaavat vähintään Palvelusopimuksessa kuvattua tasoa ja sisältöä.

1.6 Riitojen ratkaiseminen

Mahdolliset palvelun käyttöä koskevat riitaisuudet ratkaistaan Helsingin käräjäoikeudessa. 

2 Kuvaus henkilötietojen käsittelystä Rego HSEQ, Laatuportti ja Potilasturvaportti -palveluissa

Kaikkia henkilötietoja käsitellään aina voimassaolevan Suomen tietosuojalainsäädännön ja EU:n yleisen tietosuoja-asetuksen (GDPR) mukaisesti.

2.1 Rekisterinpitäjä

Palvelun käyttäjä, asiakasorganisaatio, yritys tai luonnollinen henkilö, joka on aina kuvattu ja nimetty erillisessä Palvelusopimuksessa.

2.2 Tietojen käsittelijä

Qreform Oy.

2.3 Tietojenkäsittelijän organisaatiossa henkilörekisteriä hoitava henkilö

Pasi Selkama, CTO

2.4 Tietojenkäsittelijän organisaatiossa henkilörekisterin käsittelystä vastaava henkilö

Timo Raaska, CEO

2.5 EU:n yleisen tietosuoja-asetuksen mukainen oikeusperuste henkilötietojen käsittelylle

Henkilötietojen käyttötarkoitus: Henkilötietojen käyttötarkoituksena on asiakasorganisaatioiden turvallisuutta, laatua ja osaamisen hallintaa edistävän ohjelmistopalvelun kannalta oleellisten henkilö- ja yhteystietojen kerääminen ja ylläpito.

Kuvaus rekisteröityjen ryhmästä: Henkilörekisteri sisältää henkilötietoja palvelun käyttäjistä (luonnollisista henkilöistä) sekä palvelua käyttävistä organisaatioista/yrityksistä.

2.6 Henkilörekisteri sisältää

Henkilötiedot:
Henkilön etu- ja sukunimi, ammattinimike, rooli, sähköpostiosoite, puhelinnumero, työpaikka, asema, pätevyyksiin ja koulutuksiin liittyvät tiedot ja palvelun käyttöön liittyvät tiedot. Käyttäjätunnus ja salasana (vain tarvittaessa). Erityisissä ja erikseen asiakassopimuksissa määritettävissä käyttötapauksissa henkilöstä voidaan lisäksi käsitellä tapaturmiin tms. liittyvää terveystietoa (kuvaus tapaturmasta, muu vahingon kuvaus) sekä henkilötunnusta tai vastaavaa tarkasti yksilöivää henkilötietoa.

Rekisterin muu tietosisältö:
Rekisterissä käsitellään seuraaviin ryhmiin sisältyviä tietoja: Organisaatioiden perustiedot, kuten nimi, osoitteet, puhelinnumerot, sähköpostiosoite, ammattinimike, organisaation/yrityksen nimi ja yhteystiedot sekä asiakkuuteen liittyvät tiedot kuten yritys, palvelut ja niiden käyttö; palautteet, reklamaatiot ja muu asiakkuuteen liittyvä yhteydenpito, viestintä ja toimenpiteet; tarvittavat laskutukseen liittyvät tiedot; Asiakasnumero, käyttäjätunnus ja salasana sekä tilausten käsittelyyn, toimittamiseen ja palauttamiseen liittyvät tiedot. Asiakaspalautteiden osalta Asiakkaan tai muun ulkoisen käyttäjän itsestään antamat tiedot (nimi, yhteystiedot).

Säännönmukaiset tietolähteet:
Rekisteri sisältää sekä käyttäjän tai tämän organisaation itse itsestään antamia tietoja, että tietojen käsittelijän asiakassuhteen hoidon yhteydessä rekisterinpitäjältä saamia ja päivittämiä tietoja.

Tietojen luovutukset:
Tietoja ei siirretä tai luovuteta EU:n tai Euroopan talousalueen ulkopuolelle. Mikäli muut sopimukset sen sallivat, palvelun tietoja voidaan luovuttaa lain ja EU-asetuksen sallimin tavoin anonymisoituina ryhmäyhteenvetoina palvelun tilanneille yrityksille sekä valituille tutkimusyhteistyökumppaneille. Rekisterinpitäjä voi erillisellä sopimuksella velvoittaa ja valtuuttaa palveluntuottajan (tietojen käsittelijä) luovuttamaan tietoja kolmansille osapuolille (esim. vakuutusyhtiö, viranomaiset tms).

Rekisterin suojauksen periaatteet:
Tietojenkäsittelijän käyttämä tietojärjestelmä ja tiedostot on suojattu yritystoiminnassa normaalisti käytössä olevilla teknisillä suojausmenetelmillä. Rekisterin käyttöoikeus edellyttää henkilökohtaista käyttäjätunnusta ja salasanaa, jotka myönnetään vain rekisterinpitäjän ohjeiden mukaan henkilökuntaan kuuluvalle, jonka asemaan ja tehtäviin mainittu käyttöoikeus liittyy. Tietojenkäsittelijän toimitiloissa harjoitetaan kulunvalvontaa.

2.7 Tarkastusoikeus ja oikeus vaatia tiedon korjaamista

Jokaisella rekisterissä olevalla henkilöllä on oikeus tarkistaa rekisteriin tallennetut tietonsa ja vaatia mahdollisen virheellisen tiedon korjaamista tai puutteellisen tiedon täydentämistä. Mikäli henkilö haluaa tarkistaa hänestä tallennetut tiedot tai vaatia niihin oikaisua, pyyntö tulee lähettää kirjallisesti rekisterinpitäjälle. Rekisterinpitäjä voi pyytää tarvittaessa pyynnön esittäjää todistamaan henkilöllisyytensä. Rekisterinpitäjä vastaa asiakkaalle EU:n tietosuoja-asetuksessa säädetyssä ajassa.

2.8 Muut henkilötietojen käsittelyyn liittyvät oikeudet

Rekisterissä olevalla henkilöllä on oikeus pyytää häntä koskevien henkilötietojen poistamiseen rekisteristä (”oikeus tulla unohdetuksi”). Niin ikään rekisteröidyillä on muut EU:n yleisen tietosuoja-asetuksen mukaiset oikeudet kuten henkilötietojen käsittelyn rajoittaminen tietyissä tilanteissa. Pyynnöt tulee lähettää kirjallisesti rekisterinpitäjälle. Rekisterinpitäjä voi pyytää tarvittaessa pyynnön esittäjää todistamaan henkilöllisyytensä. Rekisterinpitäjä vastaa asiakkaalle EU:n tietosuoja-asetuksessa säädetyssä ajassa.

2.9 Tietojen säilytysajat

Qreform toimii palveluntuottajana pääsääntöisesti tietojen käsittelijän roolissa ja tietojen säilytysajoista vastaa rekisterinpitäjä (Asiakas). Qreform toimii asiakkaan ohjeiden mukaan sikäli, kun ne eivät ole ristiriidassa GDPR-asetuksen tai muun lainsäädännön kanssa.

Henkilötietoja säilytetään vain niin kauan kuin on tarpeellista sitä käyttötarkoitusta varten, johon tiedot on kerätty. Henkilötietojen tarkkoja säilytysaikoja sääntelee tietyissä tilanteissa myös laki. Lakisääteisiä vaatimuksia on useita riippuen esimerkiksi toimialasta. Rekisterinpitäjä vastaa siitä, että tietojen käsittelijälle annetut ohjeet tietojen säilytysajoista ovat oikeita.

3 Tietoturvalauseke

Tämän tietoturvalausekkeen tarkoituksena on kertoa Rego/Laatuportti HSEQ -ohjelmistopalvelun tietoturvainfrastruktuurista ja -menetelmistä. Dokumentin avulla käyttäjäorganisaatio voi varmistaa palvelun toimintavarmuuden ja tietojen asianmukaisen suojauksen.

3.1 Sovelluksen ja käyttäjän tietoturva

  • SSL/TLS-suojaus: Transport Layer Security (TLS)-tekniikka suojaa palvelun käyttämiä yhteyksiä käyttämällä sekä palvelintodennusta että tietojen salausta. Tämä varmistaa, että siirrettävät tiedot ovat turvassa, suojattuna ja vain tarkoitettujen vastaanottajien käytettävissä.
  • Käyttäjän todentaminen: Tietokannan käyttäjätiedot on erotettu tilikohtaisilla käyttöoikeussäännöillä, jotka estävät käyttäjiltä pääsyn toisen palvelua käyttävän asiakkaan palvelusisältöön. Käyttäjäkohtaisesti rajatun tiedon käsittelyyn käyttäjillä on yksilölliset käyttäjätunnukset ja salasanat, jotka on syötettävä aina sisäänkirjautumisen yhteydessä.
  • Käyttäjän salasanat: Käyttäjän salasanojen on täytettävä monimutkaisuusvaatimukset. Salasanat laaditaan ja suojataan yksilöllisesti. Unohtunut salasana on mahdollista saada vain käyttäjäprofiiliin perustuviin tietoihin perustuen.
  • Tietojen salaus: Tietyt arkaluontoiset käyttäjätiedot, kuten tilin salasanat, tallennetaan salatussa muodossa.
  • Yksityisyydensuoja: Palvelun käyttöehdoissa kuvataan mihin käyttäjien tietoja on sallittua käyttää. Kaikki käyttäjästä tallennettu tieto säilytetään EU:n alueella sijaitsevilla palvelimilla ja käsitellään EU:n lainsäädännön asettavien tietosuojavaatimusten mukaan.
  • Organisaation käyttäjät: Asiakasorganisaatio vastaa itse omista käyttäjistään ja heidän käyttäjätunnustensa hallinnasta.

3.2 Fyysinen turvallisuus

  • Järjestelmäkeskus: Tietojärjestelmäinfrastruktuurimme (palvelimet, verkkolaitteet jne.) sijaitsee ulkopuolisen toimijan järjestelmäkeskuksissa (Microsoft Azure).
  • Järjestelmäkeskuksen turvallisuus: Järjestelmäkeskuksiamme valvotaan vuorokauden ympäri.
  • Ympäristön hallinta: Järjestelmäkeskuksien lämpötiloja ja kosteutta hallitaan ja valvotaan jatkuvasti. Keskuksissa on asianmukaiset savu- ja palovaroittimet sekä sammutusjärjestelmät.
  • Sijainti: Kaikki tiedot on tallennettu EU:n alueella sijaitseviin palvelukeskuksiin Irlannissa ja Hollannissa.

3.3 Käytettävyys

  • Yhdistettävyys: IP-verkkoyhteydet ja useita erillisiä yhteyksiä lukuisiin tason 1 Internet-palveluntarjoajiin.
  • Virta: Kaikki palvelukset on suojattu sähkönsyötön häiriöiltä kattavasti.
  • Toiminta-aika: Toiminta-aikaa seurataan jatkuvasti ja tekninen henkilöstö saa välittömästi ilmoituksen kaikista käyttökatkoksista.
  • Vikasieto: Tietokannat ja sovellukset on kahdennettu kahteen fyysisesti erilliseen palvelukeskukseen. Tarvittaessa palvelut siirretään aktiivisesta keskuksesta toiseen. Mahdollisissa dataan liittyvissä häiriöissä tietojen palautus voidaan suorittaa kulloinkin voimassa olevan SLA:n mukaisesti.

3.4 Verkon tietoturva

  • Toiminta-aika: Toiminta-aikaa seurataan jatkuvasti ja tekninen henkilöstö saa välittömästi ilmoituksen kaikista käyttökatkoksista.
  • Tietoturvatarkastukset: Palvelinkeskusten tietoturvatarkastukset tehdään säännöllisesti kolmansien osapuolten toimesta. Microsoft Azure pilvipalvelu ja sen palvelukeskukset on sertifioitu useiden IT sertifikaattien osalta. Nämä sertifikaatit vaativat säännöllistä auditointia. Lisää tietoa osoitteesta https://azure.microsoft.com/en-gb/support/trust-center/
  • Testaus: Järjestelmän toiminnan ja rakenteen muutokset vahvistetaan Qreformin eristetyssä testiympäristössä ja niiden toiminta ja turvallisuus testataan ennen niiden käyttöönottoa.
  • Palomuuri: Palomuuri rajoittaa pääsyä kaikkiin portteihin.
  • Päivitykset: Uusimpia suojauspäivityksiä käytetään kaikissa käyttöjärjestelmissä ja sovellustiedostoissa uusien tietoturvariskien vähentämiseksi.
  • Kirjaus ja valvonta: Keskitetyt kirjausjärjestelmät keräävät ja tallentavat kaikki sisäiset järjestelmäkirjaukset, myös kaikki epäonnistuneet todennusyritykset.
  • Varmuuskopioinnit: Kaikki palveluun tallennettu tieto peilataan jatkuvana tallennuksena varmuuskopiointitaltioon ja päivittäin erilliseen maantieteellisesti erotettuun varmuuskopiointijärjestelmään. Tietojen tallennuksen osalta on vähintään 30 päivän ajan mahdollisuus palauttaa tietokannan tila haluttuun ajanhetkeen.

3.5 Organisatorinen ja hallinnollinen tietoturva

  • Käyttöoikeudet: Tietokantojen, järjestelmien ja käyttöympäristöjen arkaluontoisten tietojen käyttöoikeudet on määritetty pienimmän tarvittavan valtuuden mukaisesti. Kaikkeen arkaluontoiseen tietoon on pääsy vain nimetyillä henkilöillä siinä tarkoituksessa, josta asiakkaan kanssa on kirjallisesti sovittu. Kaikkien työntekijöiden kanssa on tehty vaitiolositoumukset ja määritelty rikkomusseuraamukset. Pääkäyttäjät ja muut laajemmilla käyttäjäoikeuksilla järjestelmässä toimivat, saavat käyttöoikeuden Qreformin tietosuojasitoumuksen allekirjoituksen jälkeen. Jokaisen pääkäyttäjän kanssa on tehty tietosuojasitoumus.
  • Valvontakirjaukset: Ylläpidämme ja valvomme palvelujemme ja järjestelmiemme valvontakirjauksia. Järjestelmän valvontaan voi kirjautua vain rajallinen määrä yrityksen IT-palveluyksikön työntekijöitä, joille tämä oikeus on myönnetty. Kaikki ylläpitäjäkäyttäjien järjestelmään kohdistamat toimenpiteet ovat tarkasteltavissa pilvipalvelun lokitiedoista.
  • Tietoturvakäytännöt: Ylläpidämme sisäisen tietoturvan periaatteita mukaan lukien tapauskohtaiset toimintasuunnitelmat sekä niiden säännölliset tarkistukset ja päivitykset.
  • Tietojen poistaminen: Asiakkaalla on oikeus pyytää tietojensa ja aineistonsa hävittämisen Qreformin tietojärjestelmistä ja tähän ylläpidetään teknistä valmiutta.
  • Vastuuhenkilö: Qreformin järjestelmien tietoturvasta ja -suojasta vastaavat yhtiön CTO ja CEO yhdessä.

3.6 Käyttäjän velvollisuudet

  • Yleiset vaatimukset: Käyttäjän tulee varmistaa oman järjestelmänsä tietoturva ja tallentaa omalle tietokoneelle ladatut aineistot sivullisten ulottumattomiin. Poistuttaessa laitteen läheltä, se tulee lukita niin ettei kukaan ulkopuolinen pääse käyttämään henkilökohtaista laitetta.
  • Virussuoja: Käyttäjä vastaa siitä, että käytössä olevissa laitteissa on ajan tasalla oleva virusturvaohjelma ja tarvittavat palomuurit.
  • Salasanat: Tietojen turvassa pysyminen edellyttää myös, että käyttäjä varmistaa tilinsä tietoturvan käyttämällä riittävän monimutkaisia salasanoja ja säilyttämällä niitä asianmukaisesti sekä siitä, että käyttäjät vaihtavat henkilökohtaisen salasanan säännöllisin väliajoin.

General terms of use and description of file of the Rego HSEQ, Quality Portal and Patient Safety Gate services.

1 Terms of use

1.1 General

These terms of use include the terms and conditions of use of the Rego HSEQ, Quality Portal and Patient Safety Gate software service (hereinafter the ‘Service’). The Service is maintained by Qreform Oy (hereinafter the ‘Service Provider’) and available on the Internet at the web address notified to the Client (natural person, organisation or company).

A written Service Agreement is always concluded between the Service Provider and the Client on the use of the Services. The Service Agreement may specify terms of use and other terms and conditions that differ from those set out herein, and the Service Agreement shall always be deemed as the primary contract document.

1.2 Content and copyright of the Services

The Service Provider (or a third party with whom the Service Provider has concluded the necessary license and concession agreements and other agreements entitling to the provision of a service or product) holds all the intellectual property rights related to the Services and the associated software and materials and the work related to the provision of the Service and any materials created based on it, and they shall not be transferred to the Client in any respect.

The Client shall receive rights of use to the Service and the related documents and materials for the term of validity of the agreement to the extent necessary for the utilisation of the Services in the Client´s use in accordance with the agreement.

The Client shall retain all ownership rights and intellectual property rights to its own materials, such as any information or material transferred by the Client to the Service, created in connection with the use of the Service, or otherwise disclosed or made available to the Service Provider on behalf of the Client for the provision of the Service.

The Client is responsible for ensuring that the use of software or other material made available by the Client to the Service Provider for the provision of the Service does not infringe upon the intellectual property rights of a third party. The Client shall acquire all the necessary rights and compensate the Service Provider for any damage caused by infringements of intellectual property rights.

The Client may not remove, modify or cover any copyright, trademark or other intellectual property markings in or on the Service. When material owned by the Service Provider is quoted (right to quote), the Rego HSEQ, Quality Portal or Patient Safety Gate service shall be indicated as the source of data.

1.3 Client’s responsibility

The Client shall be fully liable for any damage caused due to its use, acts or omissions in violation of these Terms of Use.

The Client/user is responsible for the accuracy of the information it has provided and is obliged to notify the Service Provider of any changes therein without delay.

By accepting this right of use, the Client/user gives permission for the collection and storage of personal data and contact information that are essential for the provision of the Service. The client organisation using the service may also, as a controller, authorise the use of the personal data of its own organisation under these same principles.

The Client’s data are stored in accordance with the current Finnish data protection legislation and the EU’s General Data Protection Regulation (GDPR), and the personal data file description is kept available in the Service.

The Client accepts the Service Provider’s right to inform the user directly of the operation of the Service or changes related to the use of the Service using the contact information provided by the user. The contact details will only be used in the aforementioned context and will not be disclosed to any third parties.

1.4 Service Provider’s responsibility

The Service Provider’s responsibility is always separately described in a client-specific Service Agreement.

If no separate agreement has been concluded or no liabilities are specified therein, the provisions of this section (1.4) shall apply.

The Service Provider shall not be liable to the user or a third party for any errors or omissions contained in the Service or any loss or damage incurred as a result of interpretation. The Service Provider shall not be liable to the user or a third party for the suitability of the Service for any other purpose than that described in the agreement between the Client and the Service Provider.

The Service Provider shall not be liable to the user or a third party for any loss or damage caused by potential disruptions in the operation of the Service or potential technical faults in the Service. The Service Provider shall not be liable for any loss or damage that may result from the operation or inoperability of the Service.

1.5 Development of the content and operation of the Service

The Service Provider shall have the right to change and develop the content and functionalities of the Service subject to the provision that the functionalities of the Service are always in accordance with at least the level and content specified in the Service Agreement.

1.6 Settlement of disputes

Any disputes concerning the use of the Service shall be settled in the Helsinki District Court.

2 Description of the processing of personal data in the Rego HSEQ, Quality Portal and Patient Safety Gate services

All personal data are always processed in accordance with the current Finnish data protection legislation and the EU General Data Protection Regulation (GDPR).

2.1 Controller

A user of the Service, a client organisation, a company or a natural person who is always specified and named in a separate Service Agreement.

2.2 Data processor

Qreform Oy.

2.3 Person maintaining the personal data file in the data processor’s organisation

Pasi Selkama, CTO

2.4 Person responsible for the processing of the personal data file in the data processor’s organisation

Timo Raaska, CEO

2.5 Legal basis for the processing of personal data in accordance with the EU General Data Protection Regulation

Purpose of use of the personal data: The purpose of use of the personal data is to collect and maintain personal data and contact information relevant to the software service that enhances the safety, quality and competence management of client organisations.

Description of the categories of data subjects: The personal data file contains personal data on the users of the Service (natural persons) and organisations/companies using the Service.

2.6 Content of the personal data file

Personal data:
The person’s first and last name, job title, role, e-mail address, telephone number, place of work, position, information related to qualifications and training, and information related to the use of the Service. Username and password (only where necessary). In special use cases separately specified in client contracts, a person’s health information related to accidents, etc. (description of the accident, other description of the damage incurred) as well as personal identity code or similar uniquely identifying personal data may also be processed.

Other information content of the data file:
Information included in the following categories are processed in the data file: Basic information of organisations, such as name, addresses, telephone numbers, e-mail address, job title, name and contact details of the organisation/company, as well as information related to the client relationship, such as company, services and their use; feedback, complaints and other communication, communication and actions related to the client relationship; the necessary billing-related information; Client number, username and password, as well as information related to the processing, delivery and return of orders. For client feedback, the information provided by the Client or other external user about themselves (name, contact information).

Regular sources of data:
The data file contains both information provided by the user or their organisation about themselves, as well as information received and updated by the data processor from the controller in connection with the management of the client relationship.

Data disclosures:
Data will not be transferred or disclosed outside the EU or the European Economic Area. If allowed under other agreements, the data contained in the service may be disclosed in the form of anonymised group summaries as permitted by law and the EU regulation to companies that have subscribed to the Service and to selected research partners. The controller may, under a separate agreement, oblige and authorise the Service Provider (data processor) to disclose data to third parties (e.g. insurance company, authorities, etc.).

Principles for the protection of the data file:
The data system and the files used by the data processor are protected by the technical methods of protection normally used in business operations. The right to use the data file requires a personal username and password, which are only granted in accordance with the controller’s instructions to a member of the staff whose position and duties are related to said right of use. The data processor’s premises have access control.

2.7 Right of access and right to demand rectification of data

Every person in the data file has the right to access their data recorded in the data file and demand that any inaccurate data be rectified or incomplete data be completed. If a person wishes to access the data recorded about them or demand rectification thereof, a request to this effect must be submitted to the controller in writing. If necessary, the controller may ask the person submitting the request to prove their identity. The controller will respond to the client within the time limit set out in the EU’s General Data Protection Regulation.

2.8 Other rights related to the processing of personal data

A person in the data file has the right to request that the personal data concerning them be erased from the data file (“right to be forgotten”). Data subjects also have other rights under the EU’s General Data Protection Regulation, such as restriction of the processing of personal data in certain circumstances. Requests to this effect must be submitted to the controller in writing. If necessary, the controller may ask the person submitting the request to prove their identity. The controller will respond to the client within the time limit set out in the EU’s General Data Protection Regulation.

2.9 Data storage periods

As the Service Provider, Qreform mainly acts in the role of a data processor, while the controller (Client) is responsible for the storage periods of the data. Qreform acts in accordance with the Client’s instructions insofar as they do not conflict with the GDPR or other legislation.

Personal data are only stored for as long as is necessary for the purpose for which the data were collected. In certain circumstances, the exact storage periods of personal data are also regulated by law. There are several statutory requirements depending on, for example, the industry sector. The controller is responsible for ensuring that the instructions given to the data processor on data storage periods are correct.

3 Privacy statement

The purpose of this privacy statement is to provide information about the data security infrastructure and methods of the Rego/Quality Portal HSEQ software service. With the help of this document, the user organisation can ensure the reliability of the Service and the appropriate protection of data.

3.1 Data security of the application and the user

  • SSL/TLS protection: The Transport Layer Security (TLS) technology protects the connections used by the Service by using both server authentication and data encryption. This ensures that the data being transferred are safe, secure, and only accessible to the intended recipients.
  • User authentication: The user data in the database are separated by account-specific access rules that prevent users from accessing the service content of another client using the Service. For processing user-specific data, the users have unique usernames and passwords assigned to them, which must be entered each time they log in.
  • User passwords: User passwords must comply with the complexity requirements. Passwords are generated and protected on an individual basis. A forgotten password can only be recovered on the basis of the information based on the user profile.
  • Data encryption: Certain sensitive user data, such as account passwords, are stored in encrypted form.
  • Privacy protection: The terms of use of the Service describe the allowed purposes for which the users’ data can be used. All data recorded about the user are stored on servers located in the EU and processed in accordance with the data protection requirements set out in the EU legislation.
  • Users in the organisation: The Client organisation is responsible for its own users and the management of their user credentials.

3.2 Physical security

  • Data centre: Our data system infrastructure (servers, network equipment, etc.) is located in third-party data centres (Microsoft Azure).
  • Security of the data centre: Our data centres are monitored on a 24/7 basis.
  • Environmental control: The temperatures and humidity of data centres are controlled and monitored on a continuous basis. The centres are equipped with appropriate smoke and fire alarms and fire extinguishing systems.
  • Location: All data are stored in service centres in the EU in Ireland and in the Netherlands.

3.3 Availability

  • Connectivity: IP network connections and multiple dedicated connections to numerous level 1 Internet service providers.
  • Power: All Services are comprehensively protected against disruptions in power supply.
  • Uptime: Uptime is continuously monitored, and technical personnel are immediately notified of any disruptions in use.
  • Failure tolerance: The databases and applications are duplicated in two physically separate service centres. If necessary, the Services are transferred from one active centre to another. In the event of any data-related disruptions, data recovery may be carried out in accordance with the SLA currently in force.

3.4 Network data security

  • Uptime: Uptime is continuously monitored, and technical personnel are immediately notified of any disruptions in use.
  • Data security audits: Data centre data security audits are conducted by third parties on a regular basis. The Microsoft Azure cloud service and its service centres have been certified in respect of several IT certifications. These certifications require regular auditing. More information is available at: https://azure.microsoft.com/en-gb/support/trust-center/
  • Testing: Any changes to the operation and structure of the system are confirmed in Qreform’s isolated test environment, and their functionality and security are tested before their commissioning.
  • Firewall: The firewall restricts access to all ports.
  • Updates: The latest security updates are applied to all operating systems and application files to mitigate new data security risks.
  • Logging and control: Centralised logging systems collect and store all internal system entries, including all failed authentication attempts.
  • Backups: All data stored in the Service are mirrored as continuous storage in the backup record and daily in a separate geographically separated backup system. As far as data storage is concerned, the status of the database can be restored to the desired point in time for at least the past 30 days.

3.5 Organisational and administrative data security

  • Access rights: Access to sensitive data in databases, systems and use environments is assigned in accordance with the minimum necessary privileges. All sensitive data can only be accessed by designated persons for the purpose agreed with the Client in writing. Non-disclosure agreements have been concluded with all employees, and sanctions for any violations have been defined. System administrators and other users operating in the system with more extensive user rights will only be assigned access rights after Qreform’s data protection commitment has been duly signed. A data protection commitment has been concluded with each system administrator.
  • Audit records: We maintain and monitor the audit records of our services and systems. Only a limited number of employees in the company’s IT service unit who have been assigned this privilege can log into the system monitoring. All actions taken by administrator users on the system can be viewed in the log files of the cloud service.
  • Data security policies: We maintain internal data security principles, including case-by-case action plans and their regular reviews and updates.
  • Erasure of data: The customer has the right to request the erasure of their data and material from Qreform’s data systems, and the technical readiness to do so is duly maintained.
  • Person responsible: The company’s CTO and CEO are jointly responsible for the data security and protection of Qreform’s systems.

3.6 User’s obligations

  • Technical requirements: The user must ensure the data security of their own system and save any materials downloaded to their own computer out of the reach of third parties. When leaving the immediate vicinity of the device, it must be locked in such a way that no outsider can access the personal device.
  • Virus protection: The user is responsible for ensuring that the devices currently in use have up-to-date virus protection software and the necessary firewalls installed.
  • Passwords: To keep the data secure, the user must also safeguard the data security of their account by using passwords that are sufficiently complex and appropriately stored and change their personal password at regular intervals.